Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

Google Analyticsの利用はシュレムスII CJEU判決に違反しているか?NOYBやEU加盟国の具体的決定内容等を検証

2022-02-14 10:12:05 | 国家の内部統制

  筆者は、2020年7月25日、欧州司法裁判所がSchremsⅡ判決でEU市民の第三国へのデータ移送に関しプライバシー・シールド決定の無効判断および標準的契約条項(SCCs)に関する決定の有効性判断(その1)8月9日、同(その2完)で、欧州司法裁判所のSchremsⅡ判決を取りあげた。

 しかし、その後のGoogle やEU内のウェブサイト運営者は依然Google Analyticsを活用することを止めず、他方、米国諜報機関への個人データの流失リスク問題は未可決のままであった。

 このため、オーストリアに本部を置くEU全体のプラーバシー保護・訴訟団体「None of your business (以下、NOYBという)」  (注1)はオーストリアのデータ保護当局(「Datenschutzbehörde:以下、DSBという)に対し告訴し、そこ決定が2021年12月22日に行われた。

 NOYB は、2022年1月13日に、2021年12月22日に発行されたオーストリアのDSBの決定を公表した。 その決定において必要に応じて適切なレベルの保護を確保せずにGoogle Analyticsを継続的に使用することにより、米国の諜報機関や関係法は米国の輸入業者であるGoogle LLCに個人データをウェブサイト運営者がエクスポートすることとしており、これは「EU一般データ保護規則(規則(EU)2016/679)(以下、GDPRという)」の規定 GDPRの第V章に基づき、2020年8月にNOYBがDSBに代表する申立人の苦情を受けた「データ保護委員会 v. Facebook Ireland Limited、Maximillian Schrems(C-311 / 18)(「SchremsII事件」)」における欧州司法裁判所(「CJEU」)の判決の要件に違反するという告訴内容である。

 DSBの決定は本文で述べるとおりであるが、より詳しく解説すると「DSBは、データ受取人としてのGoogle LLCに対する告訴請求を拒否し、データ移転に関する規則はEUのウェブ運営法人にのみ適用され、米国のデータ受領者には適用されないと判断した。しかし、同時にDSBは、EUのデータ輸出業者による明示的な命令なしにGoogleが米国政府(諜報機関等)に個人データを提供することを許可されたかどうかは疑わしいため、GDPR第5条、28条および29条の違反の可能性に関してGoogle LLCをさらに調査すると述べ、DSBは、この問題について別途決定を下す予定とした。

 このNOYBの告訴の背景、経緯、DSBの決定内容・理由、オーストリア以外のEU加盟国の保護機関の動向を紹介するのが今回のブログの目的である。なお、今回のブログで参考とした解説ブログはComplexDiscovery「Googleアナリティクスの利用はシュレムスII CJEU判決に違反しているか?オーストリアのDSBはそう思っている」Dataguidance.com「Austria: DSB finds use of Google Analytics unlawful in light of Schrems II ruling」 IIJ: BizRis 「オーストリアのGoogle Analytics違法決定が欧州各国で影響拡大」Fox Rothchild LLP「No Google Analytics for You, Part Trois」他、NOYBの解説記事等である。なお、法律面からの詳しい解説はGDPRhub「DSB (Austria) - 2021-0.586.257 (D155.027)」を参照されたい。

Ⅰ DSBの決定

1.DSB決定に至るこれまでの経緯

 オーストリアのデータ保護機関DSBは、画期的な決定として、Google Analyticsの継続的な使用がGDPRに違反するというNOYBの申立によるモデルケースを決定した。これは、いわゆる欧州司法裁判所(CJEU)の「シュレムスII」の決定を受けてNOYBが提出した101のモデルとなる苦情告訴に関する最初のEU加盟国の保護機関の決定である。

 2020年7月16日、欧州司法裁判所(CJEU)は、米国の諜報機関の監視法がGoogleやFacebookなどの米国のプロバイダーに対し米国当局に個人情報を提供することが義務付けられているため、米国のプロバイダーの使用はGDPRに違反すると判断した(Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (“Schrems II”) - Case C-311/18)。EU加盟国の情報保護規制当局がEDPBの「タスクフォース」でこれらの事件に協力しているため、他のEU加盟国でも同様の決定が期待されており、今般のオーストリアのDSBの決定が出された。

2.本事件の背景・経緯

 2020年8月にNOYBの申し立てが提出された後、Googleは2021年4月9日に、Google Analytics toolを使用したEUのウェブサイト運営者から米国Googleへのウェブサイト訪問者の個人データの転送に関連して、DSBへ回答を提出した。すなわち、GDPRの第46条(2)に基づく標準契約条項(以下、SCCという)に依存し、シュレムス IIの決定で要求され、欧州データ保護委員会(以下、EDPBという)勧告01/2020に沿って、適切なレベルのデータ保護を確保するために、法的、技術的、および運用上の対策を含む補足的な対策を実施したというものである。

 その後、NOYBは2021年5月5日にGoogleの回答の提出に応じてDSBに追加の意見書を提出した。これは、DSBからの要求に続いて、Googleが説明した措置が、 EUおよびその結果としてGDPRの第V章に違反したとして、DSBがGoogleに対して最大60億ユーロの罰金を科すよう検討を求めるものであった。

3.DSBの調査結果

 まず、(1)DSBはGoogl Analyticsを使用してウェブサイト運営者からGoogleに転送されたデータが、GDPRの第4条(1)に基づく個人データを構成するかどうかの問題に対処し、GDPRの適用、したがって、苦情、この質問に対する肯定的な結論を前提としている。特に、DSBは、申立人のブラウザまたはデバイスと最初の回答者の両方を識別する、少なくとも一意のオンラインID(最初の回答者のウェブサイト運営者としてのGoogle AnalyticsアカウントIDを介して)、ウェブサイトとサブページのアドレスとHTMLタイトルを強調し、申立人が訪問したブラウザ、オペレーティング・システム、画面解像度、言語選択、Webサイト訪問の日時、および申立人が使用したデバイスのIPアドレスに関する情報は、Googleを使用してWebサイト運営者からGoogleに転送されたと分析し、そのようなデータはデータ主体を特定するのに十分であり、したがってGDPRの下で個人データと見なされると結論付けた

(2)上記および欧州データ保護委員会(「EDPB」)が最近採用したガイドラインによって定められたデータ転送の存在条件の双方を考慮して、Webサイト運営者によるGoogle Analyticsの使用が個人データの転送を構成すると判断したGDPRの第V章(「データ転送ガイドライン」)に基づく第3条の適用と国際転送に関する規定との相互作用に関し、2021年5月、DSBは、転送がGDPRの第44条で要求される保護レベルといえる適切なメカニズムの対象であるかどうかを評価した。 GoogleがGDPRの第46条に基づくSCCに依存していることを指摘し、シュレムス IIの決定に基づいて必要とされる追加の措置によって補足され、DSBは、そのような措置は、第三国の評価で特定された特定の欠陥に対処する範囲でのみ有効と見なされる可能性があることを強調した。特に、Googleが所有または保管中、またはその管理下にあるインポートされたデータへのアクセスを提供または放棄する直接の義務がある限り、保存時の暗号化の技術的手段を呼び出すことはできないことに注意すべきである。つまり Googleによって実装された技術等は、特定されたデータ保護対策の欠陥、つまり米国の諜報機関のアクセスと監視の可能性リスクに効果的に対処できていないと判断した。

 したがって、DSBは、GDPRの第46条では十分なレベルの保護を確保できないと判断し、Google Incが主張したGDPRの第49条に基づく例外の存在をさらに却下し、データ転送がGDPR第44条に違反していることを明らかにした。

 DSBは再度データ転送ガイドラインを引用して、GDPR違反がウェブサイト運営者に起因することを明らかとしたが 個人データ輸入者としてのGoogleが申立人の個人データを開示していないことを考えると、GDPR第V章の要件は特定のケースであるGoogleには適用されないと判断した。

4.結果(Outcomes)

 上記を考慮して、DSBは、GDPRの第V章に従ってGoogle Analyticsに適用できないと要約した。 さらに、DSBはウェブサイト運営者がGDPRに違反していることを発見したが、GDPRの第Ⅴ章が当面のケースではGoogleに適用されないという理由で、Googleに対する申し立てを却下した。 ただし、DSBは、GDPRの第5条、第28条(3)(a)、および第29条に対するGoogleによる違反の可能性については、別の決定を下すと要約した。

 特に、DSBはウェブサイトの運営者はミュンヘンに所在する会社と合併したため、Googleへの転送が禁止される可能性については、関連するドイツ保護当局が対処する必要があるとし、罰則や是正措置を科さなかった

Ⅱ.シュレムス判決のその後の実務界の対応

 2020年7月、CJEUは画期的な「シュレムスII」判決を発表し、FISA 702(注2)およびEO 12.333に該当する米国のプロバイダーへの移転は、GDPRの国際データ移転に関する規則に違反すると判断した。その結果、CJEUは、2015年に前回の契約「セーフ・ハーバー」を無効にした後、移転契約「プライバシー・シールド」も無効にした。

 これはテクノロジー業界に衝撃波を送ったが、米国のプロバイダーとEUのデータ輸出業者はこのケースをほとんど無視している。マイクロソフト、Facebook、Amazonと同様に、Googleはデータ転送を継続し、ヨーロッパのビジネスパートナーを落ち着かせるために、いわゆる「標準契約条項」に依存している。noyb.euの名誉議長であるマックス・シュレムス氏は「米国企業は、サービスをGDPRに準拠するように実際に適応させるのではなく、プライバシーポリシーにテキストを追加して司法裁判所を無視しようとした。多くのEU企業は、法的選択肢に切り替えるのではなく、先導に従っているのみである」と述べた。 

(1)SCCと「TOM」では不十分である

 Googleは、「技術的および組織的対策」(「TOM」)を実装したと主張して提出したが、これにはデータセンターの周りにフェンスを設置したり、リクエストを確認したり、ベースライン暗号化を使用するなどのアイデアが含まれてはいるが、DSBはこれらの対策を米国ではまったく役に立たないものとして拒否した。DSBの以下の調査結果(DSB決定の38ページと39ページ参照))をあげる。

「概説された契約上および組織上の措置に関しては、上記の考慮事項の意味で [措置] がどの程度有効であるかは明らかではない。」(p.38)

「技術的措置に関する限り、米国の法律を考慮した米国の諜報機関によるアクセスを実際にどの程度 [対策] が阻止または制限するかも認識できない(...)(p.39)

 マックス・シュレムス氏「これは非常に詳細で健全なDSB決定である。要するに、企業はヨーロッパで米国のクラウドサービスを使用できなくなったということである。欧州司法裁判所がこれを2度目に認めてから1.5年が経ったので、法律も施行されるのは時期を超えている」

(2)DSB決定はほとんどすべてのEUウェブサイトに関連する決定である

 Google Analyticsは、最も一般的な統計プログラムである。ヨーロッパでホストされている、またはセルフ・ホストできる代替手段は数多くあるが、多くのウェブサイトは統計作業をGoogle Analyticsに依存しているため、ユーザー・データを米国の多国籍企業に転送している。EU加盟国のデータ保護当局が米国へのデータ提供サービスを徐々に違法と宣言する可能性があるという事実は、EU企業と米国のプロバイダーに、米国外でのホスティングなど、安全で合法的な選択肢に移行するよう圧力をかけている。欧州データ保護監察機関(EDPS)は、2022年1月11日、EU-米国間の移転について同様の決定を下した。

 マックス・シュレムス氏:「ほとんどのEU加盟国では、同様の決定が徐々に低下すると予想している。ほぼすべての加盟国で101件の苦情を申し立てており、当局が対応を調整しました。先週、欧州データ保護監督官も同様の決定を下した」

(3)長期的な解決策

 長期的には、2つの選択肢があるようである。米国がテクノロジー業界をサポートするために外国人のベースライン保護を適応させるか、米国のプロバイダーが米国外で外国のデータをホストする必要があるかのどちらかである。

マックス・シュレムス氏:「長期的には、米国では適切な保護が必要か、米国とEUで別々の製品になるかのどちらかである。個人的には米国ではより良い保護を望んでいるが、これは米国の立法者次第であり、ヨーロッパの誰にとってもそうではない」

(4)Google LLCは転送ルールに該当しないか?

 DSBは、データ受取人としてのGoogle LLCに対する請求を拒否し、データ移転に関する規則はEUの法人にのみ適用され、米国の受領者には適用されないと判断した。しかし、同時にDSBは、EUのデータ輸出業者による明示的な命令なしにGoogleが米国政府に個人データを提供することを許可されたかどうかは疑わしいため、GDPR第5条28条および29条の違反の可能性に関してGoogle LLCをさらに調査すると述べた。DSBは、この問題について別途決定を下す予定である。

 マックス・シュレムス氏:「我々にとって、米国のプロバイダーが問題をEUの顧客に移すだけではいけないことが極めて重要である。したがって、米国の受取人に対しても訴訟を起こした。DSBはこのアプローチを部分的に拒否しました。このDSB決定の要素に異議を申し立てるかどうかを検討する」

(5)Googleに対しまだペナルティなし

 このDSB決定は、潜在的なペナルティを扱っていない。これは、申立人の意見が聞かれない「公的な」執行手続きと見なされるためである。ペナルティが発行されたかどうか、またはDSBがペナルティの発行を計画しているかどうかについての情報はまだない。このような場合GDPRは最大2,000万ユーロ、つまり世界の売上高の4%の罰金を科す見込みである。

 マックス・シュレムス氏:「EUのデータ輸出者にもペナルティがあると想定しているが、これまでのところ、この問題を扱っていない部分的な決定しか受けていない」

(6)ドイツのDPAによるさらなる執行の動向

 今回問題となったオーストリアのデータ・エクスポーターはドイツの企業と合併したため、オーストリアのDSBは過去の違反についてのみ管轄権を持っていた。DSBは、ドイツのデータ輸出業者の新本部で、関係当局との将来のデータ転送を禁止すると述べた。

Ⅲ ノルウェーのデータ保護機関(独立機関)の見解

 1.一般的な問題

 Google Analyticsサイトでは、ウェブサイト・ユーザーの IP アドレスを識別しなくすることができるが、オーストリアのデータ保護機関(DSB)によって強調された問題は解決されないことに注意されたい。オーストリアの保護機関は、Google Analyticsにもクッキーが含まれると指摘しており、ユーザーがすでにGoogleアカウントにログインしている場合、分析データをGoogleアカウントにリンクすることが可能であることを発見した。

 「個人データを米国に送信することは必ずしも禁じられていないが、これが合法であるためには、通常、多くの措置を講じる必要がある」とノルウェー保護機関のトビアス・ジュディン国際課長は述べた。

 しかし、具体的な苦情ケースでは、オーストリアのデータ保護当局は、そのような措置が実施されていないことを明らかにした。Google は個人データの収集と転送を管理するため、実際にはウェブサイトの所有者が必要な対策を確実に実施しているかなどにつきその方法を確認することは困難であったのであるとした。

2.他のウェブサイト・ツールにも影響を与える問題

 この特定のケースは Google Analyticsに適用されるが、他のウェブサイト ・ツールが米国に個人データを送信する可能性があることに注意すべきである。より多くのツールが Google Alalyticsよりも多くの個人データを送信している。したがって、Web サイトの所有者は、どのようなツールを使用し、どのような個人データをツールを介して処理するかを完全に把握することが重要である。

 トビアス・ジュディン国際課長は「多くのツールは違法に使用でき、Web サイトの所有者は直ちに削除する必要がある。深刻なケースでは、ノルウェーのデータ保護局から制裁処分を受ける危険にさらされており、現在、これらの問題に非常に注意が払われているので、我々はより多くの苦情を受けることを期待している」と語った。

3.101件の苦情

 シュレムスIIの判決が2020年の夏に言い渡されて以来、NOYBグループ((noyb.eu)はGoogleAnlyticsを使用するためにEEA全体の多くのウェブサイトについて苦情を申し立てている。したがって、加盟国のデータ保護当局はヨーロッパ全土に位置し、ノルウェーのデータ保護局を含む非常によく似た苦情に対処する。監督当局は、欧州の文脈で別のワーキンググループでケース処理を調整した欧州データ保護監察機関(EDPS)とともに、2022年中にGoogleアナリティクスの使用に関してより多くの決定が下される予定である。

Ⅳ ウェブサイト運営者はシュレムスIIの転送問題だけでなく、泣き声と祈りに従事する我々ユーザー全員のためのいくつかの重要な実践取り組むべきポイント

1.コントローラおよびプロセッサの適切な技術的および組織的な対策を実施

 コントローラの一般的な指示(つまり、ウェブサイトの設定と機能)の下で動作中にこれを行っている場合は、コントローラなしでウェブサイト上でのクッキーの使用を決定することができる。

〇あなたは、あなたのプロセッサーにプライバシー通知の公表を委託することができるが、a)あなたはまだ責任を負い、b)彼らはプライバシー通知の専門家ではないかもしれないという事実に注意されたい。これらの任務を実行するための適切な技術的および組織的な対策を実施できる十分な保証を得ることを確認すできである。

〇あなたのプロセッサに十分に詳細な指示を提供しないことは、法律違反になる。

〇コントローラとプロセッサ間のDPA準拠責任は、コントローラとプロセッサの両方にある。

2.アクセスするにあたりウェブサイトの設計方法や内容に注意

(1)コードのコピー

〇あるウェブサイトから別のウェブサイトにコードを無差別にコピーすべきでなお。不要なクッキーやトラッカーが誤ってコピーされる場合がある(これは普遍的に正しく、特に判例を複製する場合は注意されたい。

(2)クッキーについて

〇バナーと開示は、ウェブサイトで使用されているさまざまな言語間で一貫していることを確認すべきである。

〇 クッキーがデバイスにインストールされると、実際にデータの転送に使用されていなくても、クッキー が 「非アクティブ」と見なされることはない。

〇クッキーは、サービスが機能しない場合にのみ厳密に必要と見なされる。クッキー を使用しない別の実装を選択する場合、クッキーに依存する特定の実装手法の選択だけでは、厳密な必要性を正当化するのに十分ではない。一般的に、Web サービスは、同意を必要とするクッキーなしでも動作できる必要がある。

〇Web サービス・オペレータにとって「厳密に必要な」ツールと見なされることが多いファースト・パーティ分析でさえ、ユーザーが明示的に要求した機能を提供する必要は厳密になく、原則として同意の要件に従う。プライバシーに関する通知とクッキーのバナーに注意すべきである。

〇契約に基づいて「サービスの提供が終了するまで」データが保存されることを定めたプライバシー開示の規定は、データの保存とサービスの提供との間にリンクがないため、ストレージ制限の原則に沿っていない。

〇データ共有を記述する際には、プロセッサを一覧表示する必要がある。

〇クッキー・バナー・テキストは、クッキーを通じてアクセスまたは保存される情報の種類と、そのようなアクセスまたはストレージの目的を指し、バナーを介して伝達される情報は、すべての言語バージョンで同一でなければならない。最後に、ユーザーは必須でないクッキーの処理に同意するかしないかのオプションを提供する必要がある。この点に関して、バナーには、ユーザーがクッキーを受け入れるためのオプトイン・ボタンを含め、ボタンをクリックすることでユーザーがクッキーの展開に同意することを明確にする必要がある。

〇クッキーの壁は規制に沿って、自由に与えられる同意のために、ウェブサイトのサービスと機能へのアクセスは、上記の意味で厳密に必要とされないクッキーに対するユーザーの同意に依存してはならないことを意味する。

〇クッキーを通じて収集された個人データが分析パートナーなどの第三者と共有される場合、クッキー・バナーはユーザーの注意を引く必要がある。

(3)シュレムスIIについて

〇米国への個人データの転送は、転送された個人データに対して本質的に同等のレベルの保護を確保するために、効果的な補足措置によって組み込まれている場合にのみ行うことができる。

〇顧客は、本ウェブサイト上でのクッキーの使用の文脈で米国に転送された個人データに対して、本質的に同等のレベルの保護を確保するために、契約上、技術的、組織的措置に関する文書、証拠、またはその他の情報を提供を受ける必要がある。

(4) Digital Ad Ratings(DAR) (注3)の場合:

○顧客は、ウェブサイト上で第三者のクッキーを使用する際に、個人データが処理されたという事実について、申立人に確認を提供する必要がある。その後、データ主体を特定することが不可能であることを示した場合は、そのことを通知する必要がある。

〇当該の個人情報の処理が違法であると認識している場合でも、アクセス権の主な目的は、データ主体が処理を認識し、その合法性を検証したり、その他のデータ主体の権利を行使できるようにすることである。

****************************************************************************************

(注1) European Center for Digital Rights(NOYB、「none of your business」と名乗っていいる)は、オーストリアのウィーンに拠点を置く非営利団体で、汎ヨーロッパを中心に2017年に設立された。 NOYBは、オーストリアの弁護士でプライバシー活動家のMax Schremsによって共同設立され、一般データ保護規則(GDPR)、提案されているeプライバシー規則、および一般的な情報プライバシーをサポートする戦略的な訴訟とメディアイニシアチブの立ち上げを目指している。 この組織は、支援メンバーから年間25万ユーロの寄付を集めた資金提供期間の後に設立された。現在、NOYBは4,400人以上の支援メンバーから資金提供を受けている。(Wikipediaから抜粋、仮訳 )

(注1-2) DSBはオーストラリアのウェブサイト運営者につき決定文上、マスキングしている。

(注2) FISA 702:米議会下院は米国時間2018年1月11日、国家の安全保障を目的としてインターネットを介した通信を収集する米国家安全保障局(NSA)プログラムを認める外国諜報活動偵察法(FISA)を延長する法案を、賛成256票、反対164票で可決した。監視プログラムの根拠となるのは外国諜報活動偵察法(FISA)の改正法第702条で、19日に失効することになっている。FISAの改正法第702条は、2008年に成立した。同法に基づいて、国家安全保障に関わる機密事項について審理する裁判所は、「PRISM」や「Upstream」といった政府の監視プログラムでNSAにメールや文書などのインターネット通信を収集させるかどうかを決定する。

 そうしたプログラムの詳細は、NSAの元契約職員Edward Snowden氏が2013年に報道機関にリークして公になった。

 監視プログラムを認める第702条は、改正に関して上下両院で議論されることなく、2017年12月31日に更新期限を迎えた。議会は、2018年1月19日まで一時的に同法を延長することを決議した。上院も更新を決議しないと、さらなる延長はできない。(2018.1.12 CNET Japan記事から一部抜粋)

(注3) ニールセン デジタル広告視聴率(Nielsen Digital Ad Ratings)は、テレビ視聴率と同様のリーチやGRP指標を用いて、PCやモバイルなどのデジタル広告の包括的な分析結果を翌日に提供するサービスです。世界最大の ユーザーデータベースであるFacebookとニールセンの最高品質のネット視聴率パネルを用いることにより正確な属性別のリーチの提供を可能としたデジ タル広告視聴率は、デジタル広告の効果分析の新たな業界標準を提案します。以下略す。(ニールセンサイトの解説から抜粋)

************************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする